Dev / Software

Cập nhật điều tra: GitHub thực hiện xoay vòng khóa ký (signing key) cho GitHub Enterprise Server

GitHub vừa thông báo yêu cầu quản trị viên GitHub Enterprise Server thực hiện xoay vòng khóa ký GPG sau khi phát hiện các hoạt động xâm nhập trái phép vào hệ thống nội...

Nguyen Hung
6 Tháng 6, 2026 2 Min Read
1 0

GitHub vừa đưa ra thông báo quan trọng liên quan đến việc xoay vòng khóa ký (signing key) cho GitHub Enterprise Server (GHES). Động thái này được đưa ra sau khi công ty phát hiện một cuộc tấn công mạng nhắm vào các repository nội bộ thông qua một extension VS Code bị nhiễm mã độc.

Table Of Content

Chi tiết sự cố

Vào ngày 18/5/2026, GitHub đã phát hiện và cô lập một thiết bị của nhân viên bị thỏa hiệp bởi một extension VS Code từ bên thứ ba. Kẻ tấn công đã thực hiện hành vi exfiltration (trích xuất dữ liệu) từ khoảng 3.800 repository nội bộ. Mặc dù GitHub khẳng định chưa có bằng chứng về việc dữ liệu khách hàng bên ngoài bị ảnh hưởng, nhưng để đảm bảo an toàn tối đa, hãng đã quyết định thực hiện xoay vòng các khóa bảo mật quan trọng, bao gồm khóa ký cho GitHub Enterprise Server.

Hành động cần thiết cho quản trị viên

Khóa ký này đóng vai trò quan trọng trong việc xác thực tính hợp lệ của các gói cập nhật GHES. Nếu không thực hiện xoay vòng khóa GPG công khai, các bản cập nhật trong tương lai sẽ không thể xác thực và dẫn đến lỗi: Error: The file provided is not a valid GitHub Enterprise Server package.

Quản trị viên cần thực hiện các bước sau:

  • Sử dụng script do GitHub cung cấp để cập nhật khóa GPG trên các instance của mình.
  • Đối với mô hình single node, thực hiện các lệnh theo hướng dẫn chính thức từ GitHub.
  • Đối với mô hình HA hoặc cluster, cần chạy script trên tất cả các node. Lưu ý chạy lệnh với sudo để đảm bảo khóa được cập nhật đồng bộ trong cả tài khoản admin và root.

GitHub khuyến cáo người dùng nên kiểm tra SHA256 của script trước khi thực thi để đảm bảo tính toàn vẹn. Ngoài ra, người dùng chỉ nên tải các bản cập nhật GHES từ nguồn chính thức GitHub.com.

Khuyến nghị bảo mật

GitHub cho biết họ đang đẩy mạnh việc củng cố hệ thống trước các mối đe dọa mới và khuyến nghị khách hàng nên chuẩn bị cho việc cập nhật bảo mật GHES với tần suất cao hơn trong những tháng tới. Hiện tại, người dùng GitHub Enterprise Cloud không cần thực hiện bất kỳ hành động nào.

Nguồn tham khảo: GitHub Blog

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept